![Meraki](/portal/page/out/mss/cisco/pic/header/cisco_meraki.png)
Cisco 担当者コラム
Cisco・Meraki
Meraki 第142回「Cisco Secure Connectでアプリケーションが動かなくなったら」
こんにちはMeraki製品担当の林です。
以前こちらの記事でもご紹介したように、Secure ConnectではクラウドWebプロキシであるSWGを経由させてインターネットへのアクセスを保護します。
![](/portal/page/out/mss/cisco/pic/Meraki_240229_01.png)
この際、お客様の環境によってはSecure Connectを経由させることで業務に利用されているアプリケーションが上手く動作しなくなる、というケースがあります。
原因としては様々なものが考えられるのですが、今回は代表的なケースとその対処法についてご紹介します。
■端末側に証明書がインストールされていない
Secure Connectの構成ではSWGをWebプロキシとして使用するため、Secure Connectで使用される証明書を事前にユーザの端末にインストールしておく必要があります。
この操作を行わない場合、HTTPSのページを開くとブラウザが証明書エラーを表示してしまいます。
![](/portal/page/out/mss/cisco/pic/Meraki_240229_02.png)
回避策として、Secure Connectの画面からルート証明書のダウンロードが可能ですので、Secure Connectに接続する端末に対して必ず事前インストールを実施するようにしてください。
![](/portal/page/out/mss/cisco/pic/Meraki_240229_03.png)
■アプリケーションがグローバルIPアドレスによるアクセス制限を掛けている
不正アクセスの防止を目的として、業務アプリケーションに対して送信元のグローバルIPアドレスを制限されているユーザ様も多いかと思います。
Secure Connectを経由した場合、通信の送信元は下記のアドレスプールでNATされることになりますが、かなり大きなプールになるためこうした制御との相性がどうしても悪くなります。
<Secure Connectを経由した場合の送信元グローバルIPアドレス範囲>
・155.190.0.0/16
・146.112.0.0/16
・151.186.0.0/16
回避策としては、拠点のMXで対象の宛先に対するトラフィックをVPNに送らない、いわゆるインターネットブレークアウトの設定を行って頂くことが考えられます。
![](/portal/page/out/mss/cisco/pic/Meraki_240229_04.png)
上図のように、Meraki MXシリーズでは一番安価なEnterpriseライセンスからIPアドレスもしくはDNSで宛先を指定して簡単にブレークアウトの設定が可能です。
■アプリケーションで証明書のPinningを行っている
通信経路上でデータの傍受を行う中間者攻撃を防ぐために特定の証明書を使用するクライアントからの通信のみを許可するPinningという手法があります。
WebプロキシサーバであるSWGはある意味中間者ですので、Pinningが有効なアプリケーションがエラーで動作しなくなってしまう可能性があります。
こうしたアプリケーションに対する回避策としては、HTTPSの復号化をバイパスする選択的復号化の設定を使用します。
![](/portal/page/out/mss/cisco/pic/Meraki_240229_05.png)
こちらの設定を行うことで、登録した宛先の通信に対する復号化をしなくなりますので、証明書のエラーを防ぐことができます。
実はこの事象は一つ前でご紹介したインターネットブレークアウトでも防ぐことは可能なのですが、通信のログをできるだけSecure Connectに残す、という観点から考えるとできるだけ選択的復号化を中心に使って頂く方がオススメです。
また、この選択的復号化の設定は、Meraki MXのブレークアウトと違ってカテゴリやアプリケーションでも指定することが可能なので運用も楽になります。
![](/portal/page/out/mss/cisco/pic/Meraki_240229_06.png)
Pinningが有効なアプリケーションに関しては英語ですがCiscoさんでも記事を作られているので合わせてこちらもご参照ください。
・Public Key Pinning/Certificate pinning
https://support.umbrella.com/hc/en-us/articles/360030956912-Public-Key-Pinning-Certificate-pinning
今回ご紹介した設定は運用開始後も良く触る部分になるかと思いますので、ぜひ覚えておいていただければと思います。
最後までお読みいただきありがとうございました。
<<<Cisco Meraki エンジニア情報局 前回の記事>
<Cisco Meraki エンジニア情報局 次回の記事>>>
Ciscoの記事
- Wireless 第60回「Catalyst 9100シリーズ EWC on APのEoS/EoLのお知らせと他製品の導入について」
- Collaboration 第133回 「Cisco Room Bar Proの紹介 ~ 多様な会議室に対応するビデオ会議端末 ~」
- Collaboration 第132回 「注目ソリューション!Ciscoデバイス for MTR(Microsoft Teams Rooms)のご紹介 その3 ~ 構成例・必要なもの ~」
- Meraki 第146回「Cisco Secure Connect利用時のリモートユーザの保護」
- Security 第73回「【重要】Chromebook ClientでUmbrellaをご利用の方へ~Umbrellaを継続的にご利用いただくために~」
- Collaboration 第131回 「注目ソリューション!Ciscoデバイス for MTR(Microsoft Teams Rooms)のご紹介 その2 ~ これまでのTeams連携との違い ~」